金融·看法 | “一劳”不能“永逸”,用“信”必须合规 ——《个保法》后金融机构取得个人征信授权合规指引
发布日期:
2021-12-22


金融机构办理个人信贷业务的过程中,个人征信查询通常是业务办理的先决条件之一,个人征信报告对于客户的信用评价发挥着至关重要的作用。以往业务实践中,金融机构大多采取要求个人客户签署《个人征信授权书》格式文本的方式,“一劳永逸”的拿到“最广范围”内用户的授权。但随着《个人信息保护法》(以下简称《个保法》)于2021年11月1日正式生效,《征信业务管理办法》(以下简称《管理办法》)亦将于2022年1月1日开始施行,均对个人信用信息的查询、使用及报送等提出了更高的信息保护要求,金融机构在查询、使用及报送个人征信时应当承担更为严格的合规义务。基于此,兰台律师将在本文全面梳理金融机构在取得个人征信授权的风险点,并提出相应的合规建议参考,以对金融机构个人信用信息的全流程合规管理有所助益。

一、合作个人征信机构的选择

根据《管理办法》第四条、第五条规定,从事个人征信业务的,应当依法取得中国人民银行个人征信机构许可;金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务。除中国人民银行负责组建的个人信用信息基础数据库(以下简称个人信用数据库)外,多年来个人征信牌照发放一直极为谨慎,目前市场已有两家获批的市场化个人征信机构——百行征信和朴道征信;此外,中国人民银行11月26日发布了关于钱塘征信有限公司(筹)相关情况的公示,如果获得央行批准,钱塘征信有望成为继百行征信、朴道征信之后第三家市场化个人征信机构。

人民银行组建的个人信用数据库,与市场化个人征信机构朴道征信、百行征信之间是互为补充、错位发展的关系。对于缺乏信贷记录或只有少量借贷记录的人群,市场化个人征信机构可通过采集个人信贷信息以外的信用替代数据,通过对这些数据进行分析、整理、加工,对个人的信用状况做出判断,帮助金融机构筛选客户的同时降低放贷风险。据此,金融机构从事信贷业务,可根据实际业务需要选择不同类型个人征信机构开展合作,但应当选择已取得合法征信业务资质的个人征信机构获取征信服务。

二、个人征信授权的常见违规事由

(一)个人征信授权的主要监管规定

2005年,《个人信用信息基础数据库管理暂行办法》开始实施,中国人民银行负责建设征信服务中心并承担信用信息基础数据库的日常运行和管理职责; 2013年,国务院颁布《征信业管理条例》、中国人民银行颁布《征信机构管理办法》,明确了征信机构的设立标准、征信业务规则、监管模式等内容,我国征信业务正式进入到有法可依的规范化阶段;2021年,为适应征信业务市场化的迅猛发展,中国人民银行发布了《管理办法》并将在2022年1月1日起施行,《管理办法》是《征信业管理条例》的配套制度,与《征信机构管理办法》共同构成征信法治体系的重要组成部分。此外,在金融机构根据以上征信类专门监管规定调整合规体系的同时,还应遵守《个保法》《数据安全法》《网络安全法》等法律的规定和要求。

在金融机构取得个人客户征信授权的阶段,主要依据的监管规定包括:

文件名称

发文机关

生效时间

《个人信用信息基础数据库管理暂行办法》

中国人民银行

2005.10.01

《征信业管理条例》

国务院

2013.03.15

《个人信息保护法》

全国人民代表大会常务委员会

2021.11.01

《征信业务管理办法》

中国人民银行

2022.01.01

(二)个人征信授权的常见处罚事由

根据本所律师在威科先行数据库(https://law.wkinfo.com.cn)的检索,金融机构在个人征信授权阶段的高频违法行为类型如下:

违法行为类型

处罚依据

行政处罚决定

未经授权查询个人信用报告

《征信业管理条例》第四十条第(三)项

上海银罚字〔2021〕3号、包银罚字〔2018〕第8号等

未按约定用途使用个人信用报告,未经个人信息主体同意向第三方提供个人信息

《征信业管理条例》第四十二条

(巴人银)罚字〔2019〕第16号、巴银罚字〔2017〕第2号

提供个人不良信息,未事先告知信息主体本人

《征信业管理条例》第四十一条

烟银罚字[2021]1号、济银罚字﹝2021﹞第11号等

三、个人征信授权的合法合规取得

金融机构信贷业务的贷前申请与审批、贷后风险管理一般均需查询个人信用报告。《征信业管理条例》第十八条规定:“向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。”根据这一规定,金融机构在查询个人客户征信信息前,必须获得信息主体书面授权,同意金融机构报送和查询本人征信信息。

业务实践中,各金融机构一般均通过由个人客户签署《个人征信授权书》格式文本的方式,取得其对金融机构报送和查询本人征信信息的授权。在《征信业管理条例》及《个人信用信息基础数据库管理暂行办法》的基础上,结合新生效的《个保法》以及即将生效的《管理办法》规定,金融机构《个人征信授权书》格式文本的设计应当重点关注以下内容:

(一)明确查询及报送的个人征信机构

根据部分商业银行官方网站公示的《个人征信授权书》格式文本,在告知个人客户拟查询及报送的个人征信机构时,使用的表述为“贵行按照国家相关规定采集并向金融信用信息基础数据库及其他依法成立的征信机构提供本人个人信息和包括信货信息在内的信用信息”。

根据《个保法》第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。据此,如金融机构使用“其他依法成立的征信机构”或其他类似的概括表述,本质上并未向其明确告知具体的信息接收方,未履行《个保法》规定的单独告知义务。实际开展业务的过程中,如金融机构尚需向其他依法设立的征信机构报送个人信息和信贷业务交易等相关信用信息的,建议在《个人征信授权书》中明确具体的征信机构名称;可通过留空方式,由业务人员根据实际业务需要填写。

(二)列举取得个人征信信息的用途

根据《管理办法》第二十三、二十四条规定,金融机构应当采取必要的措施,保障查询个人信用信息时取得信息主体的同意,并且按照约定用途使用个人信用信息;使用征信机构提供的信用信息,应当基于合法、正当的目的,不得滥用信用信息。据此,金融机构查询个人信用信息时,应当明确其取得个人信用信息后的用途,并严格按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供。

在金融机构《个人征信授权书》格式文本中,多通过列举信用信息用途以供个人客户勾选的方式,明确约定金融机构取得其个人信息后的具体用途;但应当避免使用“其他贵行认为需要查询本人信用状况的”此类概括表述,防范被认定为违反《个保法》《管理办法》规定的“最小、必要的原则”。此外,金融机构应同时加强业务人员对征信相关监管规定的学习,监督其认真履行个人信用信息查询及使用的法律规制,业务中严格按照实际需要勾选,避免为了能够“一劳永逸”的拿到“最广范围”内用户的授权,一概要求个人客户勾选全部信用信息用途,使得勾选的设置沦为形式,构成对个人信用信息的过度收集。

(三)事前明示告知不良信息的报送

《征信业管理条例》第十五条规定,信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。但是,依照法律、行政法规规定公开的不良信息除外。在实际业务中,金融机构采集及报送信用信息中,可能包含客户未及时履行合同义务产生的不良信息,一旦报送可能对客户的征信状况造成不良影响。但根据《个人信用信息基础数据库管理暂行办法》第六条,商业银行应当遵守中国人民银行发布的个人信用数据库标准及其有关要求,准确、完整、及时地向个人信用数据库报送个人信用信息;即,准确、完整、及时报送个人信用信息系金融机构应当履行的义务,包括报送个人不良信息。

据此,建议金融机构在拟采集及报送的信用信息范围中,补充“包含但不限于本人因未及时履行合同义务产生的不良信息”,并以加粗强调的方式更为明确地告知客户。

(四)提供便捷的撤回授权的方式

根据《个保法》第十五条规定,基于个人同意处理个人信息的,个人有权撤回其同意;个人信息处理者应当提供便捷的撤回同意的方式。绝大部分金融机构的《个人征信授权书》格式文本中,均表述为“本人同意并不可撤销的授权……”,从文义上解释,该表述实质上违反《个保法》第十五条之规定,未赋予个人客户撤回其授权的权利。建议删除《个人征信授权书》中“不可撤销”的相关表述,防范被认定为违反《个保法》规定处理个人信息或未履行《个保法》规定的个人信息保护义务,而因此承担《个保法》第六十六条规定法律责任。

但鉴于金融机构信贷业务的持续性及贷后管理的实际需要,一旦信贷资金发放后如个人客户撤回其征信授权,可能会对金融机构的贷后管理及信用信息报送造成障碍。金融机构在赋予个人客户撤回其授权权利的同时,亦应当允许金融机构根据客户申请撤回其授权的业务阶段,设置必要的前置条件或后续处理方式,以保障金融机构业务的正常管理及运行。

(五)告知个人信用信息的保存和处置

根据《个保法》第十九条规定,除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间;第四十七条的规定,有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。基于此,若客户在金融机构的业务未获批准办理,或业务资料的保存期限届满,金融机构则应主动删除其个人信息。

部分金融机构的《个人征信授权书》格式文本中,约定有“若相关业务未获批准办理,本人同意本授权书及本人信用报告等资料由贵行留存,无须退还”类似表述,据此,金融机构如取得个人客户同意可留存其个人信用信息。但根据《征信业管理条例》第二十条规定,信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供。基于此,若相关业务未获批准办理,即使个人同意金融机构留存信息的,金融机构仅有存储权限,无使用、公开等其他处理权限,不得用于二次营销、定向推广等授权书约定外用途。

在征信活动中,金融消费者个人享有同意权、知情权、异议权、诉讼权和重建信用记录权五大权利,而取得个人征信授权书系维护金融消费者同意权的关键环节。金融机构应当严格遵守《征信业管理条例》《个保法》以及即将生效的《管理条例》,依法合规开展征信业务活动,履行其作为信息提供者和信息使用者的法律义务,确保个人信用信息合法取得、合法使用,保障信息主体合法权益和信息安全,促进我国征信业规范健康发展。